كيف تخترق التطبيقات الإخبارية ؟.. وأهم النصائح لحمايتها  

بثت قناة اكسترا نيوز، أمس الجمعة، خبرا عاجلا عن غلق تطبيق نبض في مصر، وكانت قد علمت « بوابة أخبار اليوم» من مصادر خاصة أنه تم اختراق تطبيق نبض من قبل عناصر مجهولة لبث أخبار كاذبة، وتابع المصدر أن  الأجهزة المعنية تقوم بالتعامل مع الاختراق واتخاذ اللازم حيال الموقع .

ووفقا لموقع الأمن الإلكتروني الشهير" null-byte.wonderhowto"، فقد أصبحت تطبيقات الويب أكثر شيوعًا ، لتحل محل برامج سطح المكتب التقليدية بمعدل متسارع، مع كل هذه التطبيقات الجديدة المتوفرة على الويب، تأتي العديد من الآثار الأمنية المرتبطة بالاتصال بالإنترنت حيث يمكن لأي شخص الضغط عليها، حيث تعد ما يعرف بحقن SQL من أبسط أنواع العيوب الأمنية الموجودة في تطبيقات الويب الحديثة، وأكثرها انتشارًا.

ولا يقوم تطبيق الويب النموذجي بتخزين أي معلومات في التطبيق نفسه، ولكنه يتصل بقاعدة بيانات خلفية حيث يتم تخزين البيانات، وتتم معالجة هذه الطلبات من خلال استعلامات SQL حيث يقوم التطبيق بتمرير عبارة إلى قاعدة البيانات، وبالتالي إعادة البيانات المطلوبة إلى التطبيق.

ما هو حقن SQL؟

حقن SQL هو أسلوب يستخدم لمهاجمة التطبيقات التي تستخدم قاعدة بيانات مثل تطبيق «نبض» عن طريق إرسال تعليمات برمجية ضارة بهدف الوصول إلى المعلومات المقيدة في قاعدة البيانات أو تعديلها. هناك العديد من الأسباب لوجود هذه الثغرة الأمنية ، بما في ذلك تصفية المدخلات غير السليمة والصرف الصحي.

ويسمح هذا النوع من الهجوم للشخص باسترداد المعلومات الحساسة، أو تعديل البيانات الموجودة، أو حتى تدمير قواعد البيانات بأكملها، وأكثر ناقلات الهجوم شيوعًا لحقن SQL تتم من خلال حقول الإدخال - نماذج تسجيل الدخول ونماذج البحث ومربعات النص، ووظائف تحميل الملفات كلها مرشحة بشكل ممتاز للاستغلال لتحقيق هذا الهدف.

ووفقا لتقرير نشره الموقع، فالحماية التطبيقات وقواعد البيانات، يتوجب تثبيت جهاز ظاهري مثل Metasploitable 2 وهي أداة شائعة يمكن استخدامها لأتمتة اختبار تطبيقات الويب بحثًا عن نقاط الضعف داخل التطبيق أو الموقع، علما بأن أي أي جهاز افتراضي ضعيف سيعمل أيضا لنفس الهدف.

في سياق متصل يرى أرييل جونغيت الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي الروسية، أن مجتمع الأمن الرقمي بأكمله، أصبح يتحدث الآن عن أنواع متعددة ومتطورة من الهجمات وهو ما يدعو ويؤكد على مدة أهمية تنزيل التصحيحات البرمجية على الأجهزة في أقرب فرصة ممكنة.

وفي المجمل اتفت شركات الأبحاث العالمية المتخصصة في الأمن الإلكتروني على عدد من النقاط لحماية التطبيقات والمواقع الإلكترونية من عمليات الاختراق، ومواجهة التهديدات المتقدمة والمستمرة، وهي كالتالي ..

 • المسارعة إلى تثبيت تصحيحات الثغرات الأمنية المكتشفة حديثًا في أقرب فرصة ممكنة بتنزيلها وتثبيتها يمنع جهات التهديد من استغلال هذه الثغرات.

• الحرص على إجراء تدقيق أمني منتظم للبنية التحتية التقنية المؤسسية للكشف عن الثغرات والأنظمة المعرضة للخطر..

•  يمكن لقدرات إدارة الثغرات الأمنية والتصحيحات التي يتمتع بها حل حماية النقاط الطرفية endpoint protection solution  أن تسهل مهام العمل بشكل كبير على مديري أمن تقنية المعلومات.

 • تثبيت حلول مكافحة التهديدات المتقدمة المستمرة وحلول الكشف عن التهديدات عن النقاط الطرفية والاستجابة لها، ما يتيح القدرة على اكتشاف التهديدات والتحقيق فيها ومعالجة الحوادث في الوقت المناسب.

• الحرص على تزويد فرق العمل في مراكز العمليات الأمنية بإمكانيات اكتشاف والتصدي للاختراقات الإلكترونية مع ضرورة التدريب المستمر على اكتشاف الثغرات التي يمكن أن يستغلها المخترقون (الهاكرز).

اقرأ أيضا | غلق تطبيق نبض في مصر بعد اختراقه وبث أخبار كاذبة